フレッツIPv6はファイアウォール無効?
小生の家は、フレッツ光とプロバイダのフレッツv6オプションでIPv6(IPoE)を使っている。
ファイアウォールはホームゲートウェイ(HGW)の標準設定のまま、特にいじっていなかった。
ある日ネットを見ていたら、これではマズいということらしいので、慌てて設定変更したので、その備忘としてこの記事を投稿した。
HGWのIPv6パケットフィルタ
HGWの設定画面では以下のような記載がある。
IPv6ファイアウォール機能が「有効」でかつ、セキュリティレベルが「標準」の場合、NTT東日本・NTT西日本のフレッツ光ネクスト網内で折り返す通信(NTT東日本・NTT西日本との契約により可能となるもの)は許容し、その他のIPv6通信を使用したインターネット側からの通信を拒否します。
※セキュリティレベルが「高度」の場合は、NTT東日本・NTT西日本のフレッツ光ネクスト網内で折り返す通信(NTT東日本・NTT西日本との契約により可能となるもの)を拒否します。
フレッツ光ネクスト網内で折り返す通信を許容するということは、厳密な説明は割愛するが、IPv6のインターネットへ接続はプロバイダのゲートウェイを通らなければならないが、下図のように、NGN網内同士は通信ができるということである。(下図)
出典: http://www.geekpage.jp/blog/?id=2013/1/11/1
HGWのセキュリティレベルの設定
ここで問題となるが上述の設定画面の「セキュリティレベル」ということになるのだが、「標準」というのは、HGWがNGN網内のIPv6通信を全て通過させるということなのである。これは非常にマズく、NASやファイル共有設定を有効にすると誰からでも見えてしまうという状況なのである。
当然ここは、設定を「高度」に変えよう。
変更してもIPv6通信ができなくなるわけではない。
図:HGWのIPv6(IPoE)のセキュリティレベル設定は「高度」に!
なお、「標準」でもNGN網の外からのアクセスは遮断されるようだ(HGWまではアクセスできるようだが、パケットフィルタで遮断される)。
NGN網の中の人たちはよほど信頼できるということなのだろうか(笑)。
IPv4だと、ルータがプライベートアドレス(192.168.x.xなど)を割り振るため、わざわざ設定しない限りはLANの外にいきなりPCがさらされることはないのだが、IPv6ではHGWの設定一つで丸裸になってしまうのである。
まとめ
フレッツのHGWのセキュリティレベルはデフォルトの「標準」ではかなり危険だ。
特に理由がある場合を除き、少なくとも「高度」に変えておこう。
それでも設定一つで丸裸になることには変わりが無いので、もう少しセキュリティのレベルを上げることをその2で、紹介する。